如何保护敏感（HIPAA）SQL Server标准数据和日志文件

我正在处理受保护的电子健康信息（ePHI或PHI），HIPAA法规要求只有授权用户才能访问ePHI。列级加密对于某些数据可能很有价值，但是我需要能够对某些PHI字段（例如名称）进行类似的搜索。

透明数据加密（TDE）是SQL Server 2008的一项功能，用于加密数据库和日志文件。据我了解，这可以防止获得MDF，LDF或备份文件访问权限的人对文件进行任何处理，因为它们是经过加密的。TDE仅在企业版和SQL Server的开发人员版本上使用，而企业版在我的特定情况下成本高昂。如何在SQL Server Standard上获得类似的保护？有没有办法加密数据库和备份文件（有没有第三方工具）？还是一样好，如果将磁盘连接到另一台计算机（Linux或Windows），是否有办法防止文件被使用？

管理员可以从同一台计算机访问文件，但是我只是想防止任何问题，如果磁盘被删除并连接到另一台计算机上。目前有哪些解决方案？

对于HIPAA的一般建议是遵循PCI数据安全标准（PCI-DSS），除非在每个地方都说“持卡人信息”或“帐户信息”或“ PHI”。我的公司（医疗保健行业，与PHI进行交易）使用PCI-DSS作为我们的主要出发点，并且使用了一些健康的常识（例如，始终确保对数据STAYS进行加密（或限于安全网络））。

在处理敏感数据时，某种类型的列级加密几乎总是一个好主意，考虑到诉讼的潜在成本，考虑到很多事情，这是很高的选择。

您需要保护PHI，这将要求您加密数据库表中的数据。如果您最好的话，请在列级别加密数据。在这些字段上进行搜索将非常昂贵，但这就是高安全性的代价。

我在《保护SQL Server》一书的第2章中讨论了各种数据加密选项。